Microsoft Active Directory Microsoft Active Directory Overview and Case studyOverview and Case study

고병갑 이사고병갑 이사 (bgko@nets.co.kr)(bgko@nets.co.kr)

㈜㈜넷츠넷츠

Active Directory DeploymentActive Directory Deployment Since its introduction in February 2000, Microsoft Since its introduction in February 2000, Microsoft

Windows 2000 (Win2000) has charted a slow, steady Windows 2000 (Win2000) has charted a slow, steady pace into production use. Our research indicates that of pace into production use. Our research indicates that of enterprises that will be deploying Win2000, only enterprises that will be deploying Win2000, only between between 10% and 15% have completed the entire 10% and 15% have completed the entire upgrade effort (client, server, and some Active Directory upgrade effort (client, server, and some Active Directory deployment).deployment).

Economic conditions, cost justification, and alignment Economic conditions, cost justification, and alignment with IT strategywith IT strategy are among the issues that have are among the issues that have conspired to slow Win2000 deployments. Concurrently, conspired to slow Win2000 deployments. Concurrently, though Win2000 affects desktop, application server, and though Win2000 affects desktop, application server, and file and print strategies, Active Directory design remains file and print strategies, Active Directory design remains a strategic alignment concern for many IT organizations a strategic alignment concern for many IT organizations intent on using the deployment to create a consistent intent on using the deployment to create a consistent identity infrastructure.identity infrastructure.

Microsoft Active Directory deployments have not Microsoft Active Directory deployments have not occurred at the pace anticipated by either Microsoft or occurred at the pace anticipated by either Microsoft or enterprise users. Nevertheless, the deployments are enterprise users. Nevertheless, the deployments are beginning to have significant impact beginning to have significant impact on enterprise on enterprise strategies for applications access and identity strategies for applications access and identity management.management.

HistoryHistory

Enterprise DirectoryEnterprise DirectoryEnterprise DirectoryEnterprise Directory

Special Purpose DirectorySpecial Purpose DirectorySpecial Purpose DirectorySpecial Purpose Directory

•Windows 3.5Windows 3.5•Windows 4.0Windows 4.0•As Network Operating SystemAs Network Operating System

•Exchange Directory (x.400)Exchange Directory (x.400)•Site Server (LDAP v3)Site Server (LDAP v3)

Integrated Integrated Enterprise DirectoryEnterprise Directory

Integrated Integrated Enterprise DirectoryEnterprise Directory

•Windows 2000 Active DirectoryWindows 2000 Active Directory•Exchange, LDAP v3 Exchange, LDAP v3 통합통합

Multi Purpose DirectoryMulti Purpose DirectoryMulti Purpose DirectoryMulti Purpose Directory

•Windows 2003 Active DirectoryWindows 2003 Active Directory•Active Directory Application Mode (ADAM)Active Directory Application Mode (ADAM)•Support for directory enabled ApplicationsSupport for directory enabled Applications

Active Directory Basis Active Directory Basis

Windows Server 2003 Standard, Windows Windows Server 2003 Standard, Windows Server 2003 Enterprise, Server 2003 Enterprise, 그리고 그리고 Windows Windows Server 2003 Datacenter Server 2003 Datacenter 를 위한 디렉터리 를 위한 디렉터리 서비스서비스

네트워크상의 개체에 관한 정보를 저장하고네트워크상의 개체에 관한 정보를 저장하고 , , 이 정보를 관리자와 사용자가 쉽게 찾아서 이 정보를 관리자와 사용자가 쉽게 찾아서 이용 이용

디렉터리 정보의 논리적디렉터리 정보의 논리적 , , 계층적 조직을 계층적 조직을 위한 근거로 구조화된 데이터 저장소를 이용 위한 근거로 구조화된 데이터 저장소를 이용

Active Directory BasisActive Directory Basis

디렉토리 데이터 저장소디렉토리 데이터 저장소 사용자사용자 , , 그룹그룹 , , 컴퓨터컴퓨터 , , 도메인도메인 , , 조직 단위조직 단위 (OU) (OU) 그리고 보안 그리고 보안

정책과 같은 개체들의 정보정책과 같은 개체들의 정보 Domain data (Domain data ( 도메인 데이터도메인 데이터 ) )

도메인 내부의 개체에 관한 정보를 담고 있습니다도메인 내부의 개체에 관한 정보를 담고 있습니다 . . 이는 전형적으로 이는 전형적으로 이메일 연결이메일 연결 , , 사용자 및 컴퓨터 계정 속성사용자 및 컴퓨터 계정 속성 , , 그리고 관리자와 사용자에게 그리고 관리자와 사용자에게 중요한 공시된 리소스와 같은 디렉토리 정보 중요한 공시된 리소스와 같은 디렉토리 정보

Configuration data (Configuration data ( 구성 데이터구성 데이터 )) 디렉토리 토폴로지를 설명합니다디렉토리 토폴로지를 설명합니다 . . 이러한 구성 데이터는 모든 도메인이러한 구성 데이터는 모든 도메인 , ,

트리트리 , , 포리스트포리스트 , , 그리고 도메인 컨트롤러 및 글로벌 카탈로그의 위치 그리고 도메인 컨트롤러 및 글로벌 카탈로그의 위치 목록을 포함 목록을 포함

Schema data (Schema data ( 스키마 데이터스키마 데이터 )) 모든 개체 및 속성 데이터의 형식적인 정의 모든 개체 및 속성 데이터의 형식적인 정의 사용자 및 컴퓨터 계정사용자 및 컴퓨터 계정 , , 그룹그룹 , , 도메인도메인 , , 조직 단위 그리고 보안 정책과 조직 단위 그리고 보안 정책과

같은 많은 개체 유형을 정의하는 기본 스키마를 포함같은 많은 개체 유형을 정의하는 기본 스키마를 포함 스키마 개체는 인증 받은 사용자만이 스키마를 변경할 수 있도록 스키마 개체는 인증 받은 사용자만이 스키마를 변경할 수 있도록

보증하는 액세스 컨트롤 리스트보증하는 액세스 컨트롤 리스트 (ACL)(ACL) 에 의해 보호 에 의해 보호

Windows 2K3 AD New FeatureWindows 2K3 AD New Feature

•ADMT Version 2.0 (Active Directory Migration Tool) included migrating passwordADMT Version 2.0 (Active Directory Migration Tool) included migrating password from Windows 4.0, 2000, 2003 ( from Windows 4.0, 2000, 2003 ( 암호 마이그레이션암호 마이그레이션 , ADMT COM, ADMT COM 인터페이스인터페이스 , , 스크립트스크립트 ))•Domain RenameDomain Rename•Schema RedefineSchema Redefine•AD/AM (Active Directory in Application Mode)AD/AM (Active Directory in Application Mode)•Group Policy ImprovementGroup Policy Improvement•Enhanced user InterfaceEnhanced user Interface

Easier deployment and management.Easier deployment and management.

Cross-forest AuthenticationCross-forest AuthenticationCross-forest AuthorizationCross-forest AuthorizationCross-Certification EnhancementCross-Certification EnhancementIAS and cross-forest AuthenticationIAS and cross-forest AuthenticationCredential ManagerCredential ManagerSoftware restriction PoliciesSoftware restriction Policies

Greater security.Greater security.

Easier Logon for Remote officesEasier Logon for Remote officesGroup membership Replication EnhancementsGroup membership Replication EnhancementsApplication Directory PartitionsApplication Directory PartitionsInstall Replica from MediaInstall Replica from MediaDependability ImprovementsDependability Improvements

Improved performance and dependability.Improved performance and dependability.

Performance ImprovementPerformance Improvement

Significant scaling improvementsSignificant scaling improvements Improved memory allocationImproved memory allocation Database optimizations and size reductionDatabase optimizations and size reduction Knowledge Consistency Checker, Replication and Inter-site Knowledge Consistency Checker, Replication and Inter-site

replication significantly improvedreplication significantly improved New authentication only mechanism (FastBind) available in Windows New authentication only mechanism (FastBind) available in Windows

.NET Server 2003.NET Server 2003

SearchSearch Performance ImprovementsPerformance Improvements

Throughput ImprovementThroughput Improvement 8P: from 256% to 366%8P: from 256% to 366% 4P: from 180% to 236% 4P: from 180% to 236% 2P: from 144% to 214% 2P: from 144% to 214%

UP to 8P Scaling ImprovementUP to 8P Scaling Improvement Between 4.6x and 5.7x on Between 4.6x and 5.7x on

Windows .NET Server 2003Windows .NET Server 2003 Between 2.3x and 3.2x on Between 2.3x and 3.2x on

Windows 2000 ServerWindows 2000 Server

Search PerformanceSearch Performance

Sub-tree Search (1 Attribute)

0

2000

4000

6000

8000

10000

12000

14000

UP 4P 8P

Se

arc

he

s/s

Win2K Win.NET

Base Search (All Attributes)

0

1000

2000

3000

4000

5000

6000

7000

UP 4P 8P

Se

arc

he

s/s

Win2K Win.NET

Update and Add PerformanceUpdate and Add Performance

Update (5 Attributes)

0

500

1000

1500

2000

2500

3000

UP 4P 8P

Up

da

tes

/s

Win2K Win.NET

4P Add Throughput

0

20

40

60

80

100

120

140

160

180

Win2K Win.NET

Ad

ds

/s

Benchmark TestBenchmark Test 테스트 서버 환경테스트 서버 환경

AD #2AD #2AD #2AD #2

4 CPU, 4 GB4 CPU, 4 GB Disk : Raid 5Disk : Raid 5 OS : OS :

Windows2003/IISWindows2003/IIS

AD #1AD #1AD #1AD #1

SSO #2SSO #2SSO #2SSO #2

4 CPU, 4 GB4 CPU, 4 GB Disk : Raid 5Disk : Raid 5 OS : OS : Windows2003/IISWindows2003/IIS

SSO #1SSO #1SSO #1SSO #1

WEB #4WEB #4WEB #4WEB #4

WEB #3WEB #3WEB #3WEB #3

WEB #2WEB #2WEB #2WEB #2

2 CPU, 1 GB2 CPU, 1 GB Disk : SingleDisk : Single OS : OS : Windows2000/IISWindows2000/IIS

WEB #1WEB #1WEB #1WEB #1L4 Switch

L4 Switch

2 CPU, 1 GB2 CPU, 1 GBDisk : SingleDisk : SingleOS : OS : LinuxLinux

WEB #5WEB #5WEB #5WEB #5

100 MBps Network100 MBps Network100 MBps Network100 MBps Network

100 MBps Network100 MBps Network100 MBps Network100 MBps Network

Benchmark TestBenchmark Test

Active DirectoryActive Directory 는 다른 연산에 는 다른 연산에 비하여 검색 부분이 매우 뛰어남을 비하여 검색 부분이 매우 뛰어남을 알 수 있다알 수 있다 . (100 . (100 프로세스의 경우 프로세스의 경우 초당 약 초당 약 2500 2500 건의 이상 검색 속건의 이상 검색 속도도 ))

이는 통합 인증의 이는 통합 인증의 TransactionTransaction 이 이 사용자의 가입사용자의 가입 , , 수정수정 , , 탈퇴 보다는 탈퇴 보다는 인증 부분에 집중 되어 있음을 감안 인증 부분에 집중 되어 있음을 감안 할 때할 때 , , 매우 우수한 결과 이다매우 우수한 결과 이다 ..

Benchmark 결과

0

500

1000

1500

2000

2500

3000

1 10 100

프로세스의 수

초

당처

리량 Insert

SearchUpdateDelete

Active DirectoryActive Directory 를 활용한 를 활용한 업무업무 For xSPFor xSP

통합인증 시스템 통합인증 시스템 (Web SSO & Access Control)(Web SSO & Access Control) 대용량 대용량 Identity ManagementIdentity Management

For EnterpriseFor Enterprise IdentityIdentity 의 저장의 저장 Windows Server ResourceWindows Server Resource 에 대한 관리에 대한 관리 기업 내 기업 내 Directory Enabled Application Directory Enabled Application 기반기반

For xSP For xSP 활용활용

StartStartServiceService

AA AAAA

BB

11 3322

수직적 확장 패밀리 사이트수직적 확장 패밀리 사이트• 모기업과 계열사간의 기업 사이트모기업과 계열사간의 기업 사이트• 글로벌 기업의 웹사이트글로벌 기업의 웹사이트• 메가포털 메가포털 Service ProviderService Provider

기타 패밀리 사이트기타 패밀리 사이트•마케팅 수단마케팅 수단•관리 수단관리 수단

수평적 확장 패밀리 사이트수평적 확장 패밀리 사이트제품별 브랜드 사이트제품별 브랜드 사이트타겟별 서비스 사이트타겟별 서비스 사이트컨텐츠 서비스 사이트컨텐츠 서비스 사이트

사용자 및 트래픽의사용자 및 트래픽의급속한 증가급속한 증가

xSP key TransactionxSP key Transaction 가입자 가입자 : : 약 약

20,000,00020,000,000 일 방문자수 일 방문자수 : : 약 약

10,000,00010,000,000 일 인증 회수 일 인증 회수 : : 전체 전체

가입자의 가입자의 10% ~ 10% ~ 20% (20% ( 백만 백만 ~ ~ 이백만이백만 ))

초당 초당 100 ~ 200 Tr. 100 ~ 200 Tr. 처리처리

핵심고려사항핵심고려사항

Simple DesignSimple Design

OU=members

ssosite.org

user

user2

OU=Service1

OU=Service2

user

user2

user

user2

핵심고려사항핵심고려사항

MigrationMigration

• ID 정책 위배• 기존 정보 오류• 사업자 Biz Logic 위배

100 여 시간

총 소요 시간

약 2 천만 건

총 이행 건수

약 99.85 %

정상 처리 건수

약 3 만 건

실패 건수

• 장시간 소요를 예상하여 이행 계획 수립

핵심고려사항핵심고려사항

PerformancePerformance

606 건 /S

LDAP Search

WEB SSO

280건 /S

Provisioning

139건 /S

4,908건 /S

40 건 /S

3 건 /S

LDAP SDK

건 /6.1ms

건<10ms

핵심고려사항핵심고려사항 LDAP SDK LDAP SDK 성능 검증 결과성능 검증 결과

1 Thread 1 Thread 테스트 결과테스트 결과 평균 건당 평균 건당 SDK SDK 검색 속도 검색 속도 : 2.12 ms: 2.12 ms LDAP LDAP 검색 속도검색 속도 (370(370 건건 /sec)/sec)

10 Thread 10 Thread 테스트 결과테스트 결과 (( 부하 서버 부하 서버 CPU 100%)CPU 100%) 평균 건당 평균 건당 SDK SDK 검색 속도 검색 속도 : 6.01 ms: 6.01 ms LDAP LDAP 검색 속도검색 속도 (1,111(1,111 건건 /sec)/sec)

타 시스템 연동타 시스템 연동

핵심고려사항핵심고려사항 디렉터리 백업 및 복구 성능디렉터리 백업 및 복구 성능

총 소요 시간 총 소요 시간 : : 약 약 1313시간 시간 3030분분 주요 작업 내역주요 작업 내역

DIR1 DIR1 로컬 백업 파일 생성로컬 백업 파일 생성 소요 시간 소요 시간 : 3: 3 시간 시간 5555분분 ((약 약 25GB/Hr)25GB/Hr) 파일 크기 파일 크기 : : 약 약 93GB93GB

DIR2, DIR3 DIR2, DIR3 백업 파일 복사백업 파일 복사 소요 시간 소요 시간 : 4: 4 시 시 3030분분 ((약 약 6MB/sec)6MB/sec) 네트워크 사용률 네트워크 사용률 : 100Mbps: 100Mbps 에서 약에서 약 70% 70% 점유점유

NTBackup RestoreNTBackup Restore모드로 로컬 파일복구모드로 로컬 파일복구 소요 시간 소요 시간 : 4: 4 시간 시간 1010분분 ((약 약 23GB/hr)23GB/hr)

DCPROMO /adv DCPROMO /adv 모드로 도메인 조인 및 모드로 도메인 조인 및 AD AD 구성구성 소요 시간 소요 시간 : 5: 5 분분

기타 점검 및 확인기타 점검 및 확인 소요 시간 소요 시간 : 1: 1 시간시간

핵심고려사항핵심고려사항 디렉터리 복제디렉터리 복제

Multi Master or Master/SlaveMulti Master or Master/Slave

사용자 등록작업 복제 지연사용자 등록작업 복제 지연 초당 초당 2020 건 미만일 경우 복제 지연이 없다건 미만일 경우 복제 지연이 없다 .. 초당 초당 2020 건 미만일 경우 전체 건 미만일 경우 전체

시스템시스템 (CPU/MEMORY/NETWORK/DISK) (CPU/MEMORY/NETWORK/DISK) 부하는 미미하다부하는 미미하다 ..

사용자정보 변경작업 복제 지연사용자정보 변경작업 복제 지연 변경 정보의 크기에 따른 복제 지연 확인 중변경 정보의 크기에 따른 복제 지연 확인 중

사용자 삭제작업 복제 지연사용자 삭제작업 복제 지연

Active DirectoryActive Directory 를 활용한 를 활용한 업무업무 For EnterpriseFor Enterprise

EnterpriseEnterpriseCompanyCompany

EnterpriseEnterpriseCompanyCompany

UsersUsers• 사용자 정보사용자 정보• 권한권한• 프로필프로필• 정책정책

Client MachinesClient Machines• 관리 프로필관리 프로필• 네트워크 정보네트워크 정보• 정책정책

Server MachinesServer Machines• 관리 프로필관리 프로필• 네트워크 정보네트워크 정보• 서비스서비스• 프린트프린트• 파일공유파일공유• 정책정책

ApplicationsApplications• 구성정보구성정보• Single Sign-OnSingle Sign-On• APPAPP 내부의 내부의

디렉터리정보 디렉터리정보 • 정책정책

Network DevicesNetwork Devices• 구성정보구성정보• QoS QoS 정책정책• 보안정책보안정책

E-Mail ServersE-Mail Servers• 메일박스 정보메일박스 정보• 주소록주소록

Firewall ServicesFirewall Services• 구성정보구성정보• 보안정책보안정책• VPN VPN 정책정책

InternetInternet

Enterprise Biz ScenarioEnterprise Biz Scenario

StorStoree

StorStoree

HOST

사용자사용자

개발자개발자

시스템시스템관리자관리자

Web Based AppWeb Based App C/S Based AppC/S Based App System ResourceSystem Resource Main Frame BasedMain Frame BasedAPPAPP

Identity Identity 저장 저장 StorageStorage

StorStoree

StorStoree

HOST

사용자사용자

개발자개발자

시스템시스템관리자관리자

Web Based AppWeb Based App C/S Based AppC/S Based App System ResourceSystem Resource Main Frame BasedMain Frame BasedAPPAPP

DirDirInfraInfra

관리자관리자

Meta Directory ? Meta Directory ?

Connected DirectoryConnected Directory Source and/or Source and/or

destination for destination for synchronized attributessynchronized attributes

Connector Space (CS)Connector Space (CS) Staging area for Staging area for

inbound or inbound or outbound outbound synchronized synchronized attributesattributes

Metaverse (MV)Metaverse (MV) Central (SQL) store of Central (SQL) store of

identity informationidentity information Matching CS entries to Matching CS entries to

a single MV entry is a single MV entry is called “join”called “join”

iPlanetiPlanetiPlanetiPlanet

OracleOracleOracleOracle

SQLSQLSQLSQL

ExchangeExchange5.55.5

ExchangeExchange5.55.5

ConnectedConnectedDirectoriesDirectories

MetaverseMetaverse

UserUser

ConnectorConnectorSpaceSpace

Windows Server Windows Server 자원관리자원관리 기업 내 존재하는 기업 내 존재하는 Network Network 자원자원 /Windows /Windows

ServerServer 자원에 대한 중앙집중자원에 대한 중앙집중 // 분산 관리분산 관리 Windows File Server/Print ServerWindows File Server/Print Server Windows Windows 기반 기반 DesktopDesktop

Windows XPWindows XP Windows 2000 Pro Windows 2000 Pro

Directory Enabled App.Directory Enabled App. 디렉터리 기반의 메일 서버디렉터리 기반의 메일 서버 // 그룹웨어 시스템그룹웨어 시스템

Exchange/Notes/Exchange/Notes/ 전자결재전자결재 관련 시스템에 대한 기업의 관련 시스템에 대한 기업의 OrganizationOrganization 관리관리 이를 통한 시스템자원의 접근 제어이를 통한 시스템자원의 접근 제어 이를 통한 이를 통한 Application Application 접근제어접근제어

각종 각종 ERP, CRMERP, CRM 등과 같은 범용 등과 같은 범용 소프트웨어와의 연계소프트웨어와의 연계

Session SummarySession Summary

Active DirectoryActive Directory 의 다양한 활용의 다양한 활용 체계적인 전략을 통한 인프라 구축체계적인 전략을 통한 인프라 구축 생산성 위주의 생산성 위주의 IT IT 자원 도입에서 관리의 자원 도입에서 관리의

효율증대를 위한 솔루션 채택효율증대를 위한 솔루션 채택

Q & AQ & A